本發明公開了一種基于總線的入侵檢測方法，包括：收集總線數據：監聽并收集總線傳輸數據；提取總線特征：利用總線的工作原理，在收集的總線數據中提取子系統使用總線頻率，子系統總線信譽等總線特征；總線異常檢測：將提取的特征提交到預先建立的總線異常檢測器檢測，若消息合法，則讓消息通過，否則生成入侵事件，將此入侵事件提交到入侵事件過濾器，如果入侵檢測過濾器能過濾此入侵事件，則讓消息通過，否則停止總線傳輸此消息，阻止此次入侵。本發明可檢測出多個子系統之間的攻擊，可以有效的抵御重放攻擊、偽造子系統攻擊、拒絕服務等多種攻擊。

技術領域

本發明屬于入侵檢測的技術領域，特別涉及一種提取總線特征和總線異常檢測的可抵御重放攻擊、偽造子系統攻擊和拒絕服務攻擊的入侵檢測方法。

背景技術

目前，工業控制領域安全問題日益嚴峻，由于基礎設施設備都是由物理信息系統構成，為了確保國家基礎設施的正常運行，應當不遺余力的保護物理信息系統的安全。

物理信息系統的設計日益復雜，單一的系統設計已經無法滿足日益增長的需求。將功能相同的模塊集成一個獨立的子系統，可以獨立完成相應的功能。使用1553B等總線高效的將各個子系統整合在一起，逐漸形成了數據控制中心與各個功能的子系統通過總線相互協同的綜合電子系統。

共享式總線通信本質上屬于一種廣播式的通信，即總線上的所有子系統都是共享通信信道的，只不過子系統根據通信協議來判斷消息是否傳輸給自己。因此，為了確保總線上各個子系統通信的安全性，防止消息重放和消息偽造是非常重要的安全行為。因為通常情況下，各個子系統都可以監聽到總線上傳輸的消息，如果這個子系統在集成時就被黑客植入了后門程序，那么這個子系統便可以做到監聽其它子系統間的通信數據，在必要時刻可以偽造通訊，從而造成子系統處理偽造的通訊，達到黑客攻擊的目的。傳統的入侵檢測方法按照檢測數據進行分類分為基于主機的入侵檢測和基于網絡的入侵檢測，但兩種入侵檢測方法無法抵御新環境下的各個子系統通過總線來進行的通訊的入侵，由于基于主機的檢測方法是檢測主機的審計日志，在子系統協同工作中，各個子系統都相當于一臺主機，且子系統與控制中心屬于應答系統，所以即使給所有的子系統都使用基于主機的方法來解決入侵問題，那么如果子系統檢測到了入侵情況，由于需要等待控制中心的命令，所以控制中心無法立即獲取到子系統的入侵情況。基于網絡的檢測方法是檢測各個通訊主機之間的網絡數據包，在子系統協同工作中的環境下，各子系統之間涉及總線通訊，并不涉及網絡通信，所以基于網絡的入侵檢測在這里并不適用。

發明內容

本發明的目的在于克服現有技術的缺點與不足，提供一種基于總線的入侵檢測方法,采用總線特征驗證及可抵御重放攻擊、偽造子系統攻擊和拒絕服務攻擊的入侵檢測，在繼承了共享式總線協議的效率性和魯棒性的同時，為總線消息傳輸提供了安全保護，可以抵御重放攻擊、偽造子系統攻擊和拒絕服務攻擊。

本發明提出了一種基于總線的入侵檢測方法，包括如下階段：

收集總線數據階段：監聽并收集總線傳輸數據；

提取總線特征階段：利用總線的工作原理，在收集的總線數據中提取總線特征；

總線異常檢測階段：將提取的特征提交到預先建立的總線異常檢測器檢測，若消息合法，則讓消息通過，否則生成入侵事件，將此入侵事件提交到入侵事件過濾器，如果入侵檢測過濾器能過濾此入侵事件，則讓消息通過，否則停止總線傳輸消息，阻止此次入侵。

本發明提出的所述基于總線的入侵檢測方法中，所述收集總線數據階段包括下述步驟：

步驟A1：所述監聽并收集總線傳輸數據，實時監聽總線，記錄子系統在總線上傳輸的數據和子系統使用總線的時間。

本發明提出的所述基于總線的入侵檢測方法中，所述提取總線特征階段包括下述步驟：

步驟B1：所述利用總線的工作原理，根據總線協議，提取消息時長，消息長度，方式代碼，消息數據，消息時間間隔，消息頻率；